DDoS से बचाव की सुविधा

Apigee Edge का दस्तावेज़ देखा जा रहा है.
Apigee X के दस्तावेज़ पर जाएं. जानकारी

डिस्ट्रिब्यूटेड डिनायल ऑफ़ सर्विस (डीडीओएस) हमले बड़े पैमाने पर और ज़्यादा आम हो रहे हैं. हाल ही में हुए हमलों में रिकॉर्ड ट्रैफ़िक देखा गया है. अनुमान है कि आने वाले समय में यह और भी बदतर हो सकता है. इन हमलों की संख्या बहुत ज़्यादा होने की वजह से, सभी को अपनी सुरक्षा के तरीकों की फिर से समीक्षा करनी पड़ी है. हैक किए गए स्मार्ट डिवाइसों का इस्तेमाल करके, डीडीओएस हमले अब पहले के मुकाबले काफ़ी ज़्यादा बड़े पैमाने पर किए जा रहे हैं.

Apigee के लिए डीडीओएस से जुड़ी सुरक्षा का मकसद, हर ग्राहक के डेटा सेंटर में मौजूद ग्राहक के एपीआई को सुरक्षित रखना है. Apigee Edge Cloud को ज़्यादा ट्रैफ़िक को स्वीकार करने के लिए बनाया गया है. साथ ही, यह एक ऐसा फ़िल्टर है जो ग्राहक के डेटा सेंटर और उनके एपीआई इंटरफ़ेस पर असल अनुरोधों को भेजता रहता है. साथ ही, यह नुकसान पहुंचाने वाले ट्रैफ़िक को हटाता है, ट्रैफ़िक में होने वाली बढ़ोतरी पर नज़र रखता है, दर को सीमित करता है, और हमले के दौरान अपने ग्राहकों को ऑनलाइन रखता है.

Apigee, ट्रैफ़िक की संख्या में बढ़ोतरी का पता लगा सकता है. हालांकि, हम यह तय नहीं कर सकते कि यह बढ़ोतरी किसी हमले, सफल कैंपेन या असली उपयोगकर्ताओं के लिए रिलीज़ किए गए नए ऐप्लिकेशन की वजह से हुई है. Apigee, एपीआई कॉल के अंदर मौजूद जानकारी को बारीकी से नहीं देखता, ताकि यह पता लगाया जा सके कि कौनसे कॉल मान्य हैं और कौनसे कॉल शायद हमले हैं. एपीआई कॉल देखे जा सकते हैं, लेकिन ऐसा करना Apigee के सामान्य ऑपरेशन का हिस्सा नहीं है. हम ग्राहक के पेलोड की समीक्षा नहीं करते, क्योंकि इससे ज़्यादातर ट्रैफ़िक, ग्राहकों, और असली उपयोगकर्ताओं की निजता का उल्लंघन होता है. Apigee को यह नहीं पता कि मंगलवार दोपहर को ट्रैफ़िक में हुई बढ़ोतरी, किसी हमले की वजह से हुई है या ग्राहकों के ऐप्लिकेशन और सेवाओं के अचानक इस्तेमाल की वजह से. Apigee, ट्रैफ़िक में बढ़ोतरी देख सकता है. हालांकि, ग्राहकों के लिए साफ़ तौर पर दिखने वाली और Apigee के लिए उपलब्ध न होने वाली ज़्यादा जानकारी और संदर्भ के बिना, हमें जवाब देने का तरीका नहीं पता होगा. सबसे खराब स्थिति तब होगी, जब Apigee किसी हमले को ब्लॉक कर दे और बाद में पता चलता है कि यह एक बड़ी मार्केटिंग सफलता थी. Apigee ने ऐप्लिकेशन को उसके हॉट पीरियड के दौरान ब्लॉक करके, इस सफलता को खत्म कर दिया था.

Apigee, डीडीओएस (DDoS) हमले से बचाने के लिए क्या करता है?

Apigee Edge, सुरक्षा टूलबॉक्स में मौजूद एक टूल है. ग्राहक के पास इस टूल को ज़रूरत के हिसाब से कॉन्फ़िगर करने का विकल्प होता है. इससे, नुकसान पहुंचाने वाले ट्रैफ़िक को ब्लॉक किया जा सकता है, मान्य लेकिन ज़्यादा ट्रैफ़िक को सीमित किया जा सकता है या ग्राहक के बैकएंड के जवाब देने से पहले, लोड को तेज़ी से प्रोसेस किया जा सकता है. साथ ही, ग्राहक के डेटा सेंटर को लोड से बचाया जा सकता है. Apigee Edge की मदद से, हमारे ग्राहक सुरक्षा से जुड़ी ऐसी नीतियां बना सकते हैं जिनसे Apigee के पीछे मौजूद असल एपीआई सेवाओं को सुरक्षित रखा जा सके. एज एक सुरक्षात्मक लेयर है. यह ज़रूरत के हिसाब से स्केल कर सकता है, ताकि बड़े ट्रैफ़िक स्पाइक (जैसे, डीडीओएस हमला) को एब्ज़ॉर्ब किया जा सके. साथ ही, बैकएंड (ग्राहकों के डेटा सेंटर) पर असर को सीमित किया जा सके.

Apigee, हर ग्राहक के हर कॉल के पेलोड को मैनेज और जांच नहीं करता. इसलिए, हमला की पहचान करने की सुविधा ग्राहक के पास होती है. हालांकि, हमले का जवाब देने के लिए, ग्राहक और Apigee, दोनों के साथ मिलकर काम करना चाहिए. ज़रूरत पड़ने पर, Apigee क्लाउड सेवा देने वाली कंपनी (GCP या AWS) की मदद भी ले सकता है.

Apigee, GCP, और AWS, किसी ग्राहक के लिए ट्रैफ़िक को ब्लैकहोल नहीं करेंगे. अगर Apigee को पता चलता है कि ट्रैफ़िक नुकसान पहुंचाने वाला है, तो हम ग्राहक से संपर्क करेंगे और मदद करने का ऑफ़र देंगे. हालांकि, Apigee Edge के स्केल की वजह से, ट्रैफ़िक की संख्या को ट्रैफ़िक को ब्लॉक करने के लिए ट्रिगर नहीं माना जाता.

ग्राहक, Edge का इस्तेमाल करके ऐसी नीतियां बना सकते हैं जो हमलों (डीडीओएस (DDoS) हमले भी शामिल हैं) से बचाती हैं. ये नीतियां पहले से मौजूद नहीं होती हैं. इसका मतलब है कि हर ग्राहक के एपीआई, डेटा या सेवाओं में कोई खास बात नहीं है. ग्राहक के इनपुट के बिना, Apigee इन नीतियों को चालू नहीं कर सकता. इसका मतलब है कि Apigee, ग्राहक के डेटा की समीक्षा कर रहा है और यह फ़ैसला ले रहा है कि कौनसा डेटा मान्य है और कौनसा नहीं.

Edge एक टूल है. इसका इस्तेमाल करके, ग्राहक अपने एपीआई को सुरक्षित रख सकते हैं. हालांकि, एपीआई डिफ़ेंस के लिए ग्राहक को कुछ काम करने पड़ते हैं.

इसका मकसद, ग्राहक की एपीआई सेवाओं को सुरक्षित रखना है. यह Edge Cloud की सुविधाओं और क्षमताओं में से एक है.

असल में, यह अलग-अलग तरह के डीडीओएस ट्रैफ़िक को असल एपीआई से जितना हो सके उतना दूर ब्लॉक करने का मामला है:

  • Cloud के नेटवर्क पर गलत तरीके से बनाए गए नेटवर्क पैकेट को ब्लॉक करना
  • Edge प्लैटफ़ॉर्म लेयर पर, सही तरीके से बनाए गए, लेकिन अधूरे पैकेट को स्वीकार करना
  • Edge लेयर पर गलत तरीके से बनाए गए एपीआई कॉल को ड्रॉप करना
  • Edge में, सही तरीके से फ़ॉर्मैट किए गए, लेकिन बिना अनुमति वाले कॉल को ब्लॉक करना
  • Edge में, सही तरीके से फ़ॉर्मैट किए गए और अनुमति वाले, लेकिन ज़रूरत से ज़्यादा कॉल को ब्लॉक करना
  • सही तरीके से बनाई गई, मान्य कुंजियों और मान्य एपीआई अनुरोधों का पता लगाने के लिए, Sense का इस्तेमाल करें. ये ऐसे अनुरोध होते हैं जो आपके अनुमानित या अनुमति वाले ऐक्सेस से बाहर के होते हैं
  • ग्राहक के डेटा सेंटर पर सिर्फ़ मान्य, अनुमति वाले, स्वीकार किए जा सकने वाले, और तय सीमा के अंदर के एपीआई कॉल पास करें

आम तौर पर पूछे जाने वाले अन्य सवाल

क्या Apigee, (ip|country|url) को ब्लैकलिस्ट कर सकता है?

हां, अगर नीति को ग्राहक के Edge संगठन में Edge में बनाया, कॉन्फ़िगर, और चालू किया गया है.

क्या Apigee, बॉट या नुकसान पहुंचाने वाली मिलती-जुलती गतिविधियों का पता लगा सकता है?

Apigee, Sense नाम की बॉट का पता लगाने वाली सेवा उपलब्ध कराता है.

क्या Apigee मेरे लिए ट्रैफ़िक को ब्लैकहोल करेगा?

Apigee, किसी ग्राहक के लिए आने वाले ट्रैफ़िक को ब्लैकहोल नहीं करेगा. अगर Apigee यह पता लगा पाता है कि ट्रैफ़िक नुकसान पहुंचाने वाला है, तो हम ग्राहक से संपर्क करेंगे और उसे मदद करने का ऑफ़र देंगे. हालांकि, Apigee Edge और क्लाउड सेवा देने वाली कंपनियों (GCP और AWS) के स्केल की वजह से, ट्रैफ़िक के ज़्यादा होने पर उसे ब्लॉक नहीं किया जाता.

क्या डीओएस या डीडीओएस हमले को Edge में प्रोसेस किए गए एपीआई कॉल के तौर पर गिना जाता है?

Apigee Edge एक ऐसा समाधान है जिससे ग्राहक के बैकएंड सिस्टम का गलत इस्तेमाल रोकने में मदद मिलती है. इसलिए, किसी हमले की स्थिति में, Edge, कॉन्फ़िगरेशन के आधार पर Apigee Cloud लेयर पर गलत इस्तेमाल को रोकने के लिए, कोटा/स्पाइक को रोकने/खतरे से सुरक्षा देने वगैरह की सुविधा लागू करेगा. अगर किसी व्यक्ति के पास मान्य एपीआई पासकोड है और वह कोटा की सीमा के अंदर है, तो वह अब भी उस एपीआई को ऐक्सेस कर सकता है. हमारी लेयर पर प्रोसेस किए गए किसी भी एपीआई कॉल को प्रोसेस किए गए कॉल के तौर पर गिना जाएगा. Apigee Edge, सुरक्षा टूलबॉक्स में मौजूद एक टूल है. इसका इस्तेमाल, ग्राहकों को डीडीओएस और अन्य तरह के हमलों से बचाने के लिए किया जाता है.

डीडीओएस हमले से बचाव के बारे में ज़्यादा जानकारी

  1. GCP और AWS, ज़रूरत पड़ने पर नेटवर्क लेवल पर डीडीओएस से जुड़ी मदद देते हैं.
    • Apigee, GCP और AWS के सुरक्षा संपर्कों को बनाए रखता है, ताकि किसी हमले का जवाब देने के लिए GCP या AWS की मदद की ज़रूरत पड़ने पर, उन्हें सूचना दी जा सके.
  2. Apigee Edge का इस्तेमाल, ग्राहक के एपीआई को हमले से बचाने वाली नीतियों को लागू करने के लिए किया जा सकता है.
    • अनुरोधों की संख्या सीमित करना.
    • स्पाइक की गिरफ़्तारियाँ.
    • एक्सएमएल पेलोड अटैक का पता लगाना.
    • खास तरह के हमलों से बचाव करने के लिए, अन्य नीतियां बनाई जा सकती हैं.
  3. Edge, अपने-आप स्केल होने की सुविधा का इस्तेमाल करके, हमसे जुड़ी सुरक्षा को बेहतर बनाता है.
  4. डीडीओएस हमले के दौरान, Apigee और ग्राहक (और GCP या AWS) को एक साथ काम करना होगा. खुले तौर पर जानकारी शेयर करना ज़रूरी है. साथ ही, Apigee की सहायता टीम के पास सुरक्षा से जुड़े संसाधन हमेशा उपलब्ध होते हैं.

डीडीओएस अटैक से बचने के लिए, सबसे पहले Apigee Edge का इस्तेमाल करें. इससे, स्पाइक को रोकने, ट्रैफ़िक की दर को सीमित करने, और सोर्स आईपी पतों को ब्लैकलिस्ट करने में मदद मिलती है. डीडीओएस (DDoS) हमले से बचने के लिए, Edge में कई टूल उपलब्ध हैं.

अगर हमले की संख्या काफ़ी ज़्यादा है, तो Apigee ग्राहक के साथ मिलकर, "अपस्ट्रीम सहायता" के लिए सही क्लाउड सेवा देने वाली कंपनी से संपर्क कर सकता है. हर डीडीओएस हमला अलग होता है. इसलिए, हमले के दौरान ही यह तय किया जाएगा कि क्या करना है. हालांकि, समस्या को बढ़ा-चढ़ाकर बताने में मदद करने के लिए, सबसे सही तरीके और ज़रूरी जानकारी AWS पर सेवा में रुकावट वाले लेख में दी गई है.

याद रखें कि:

हमले के लिए प्लान बनाना. याद रखें, हम सब एक-दूसरे के साथ हैं. जिन ग्राहकों को लगता है कि उन पर हमला हो रहा है उन्हें एक टिकट खोलना चाहिए और Apigee की मदद का अनुरोध करना चाहिए.

GCP

Apigee, डीडीओएस हमले से बचाने और उसे कम करने के सबसे सही तरीकों में बताए गए तरीके से, GCP की सुरक्षा सुविधाओं का इस्तेमाल करता है. जैसे:

  • वर्चुअल नेटवर्क
  • फ़ायरवॉल के नियम
  • लोड बैलेंसिंग

AWS

AWS, डीडीओएस के हमले से बचने के सबसे सही तरीकों के साथ-साथ अटैक सरफ़ेस को कम करके, डीडीओएस हमलों से बचने के तरीके के बारे में जानकारी देता है. Apigee, हमारे एनवायरमेंट पर लागू होने वाले कई डोमेन नेम का इस्तेमाल करता है:

  • VPC
  • सुरक्षा ग्रुप
  • ACL
  • Route53
  • लोड बैलेंसिंग